Question#27(AZ-700)
Site1 という名前のオンプレミスネットワークがあります。
storage1 という名前のストレージアカウントと、VNet1 という名前の仮想ネットワークを含む Azure サブスクリプションがあります。VNet1 には Subnet1 という名前のサブネットが含まれています。storage1 のプライベートエンドポイントが Subnet1 に接続されています。Site1 は、サイト間(S2S)VPN を使用して VNet1 に接続されています。
ネットワークセキュリティグループ(NSG)を使用して、Site1 から storage1 へのアクセスを制御する必要があります。
最初に何をすべきですか?
正解:A
この問題は、「プライベートエンドポイントに対する NSG の適用条件」に関する重要な仕様を問うものです。
既定の動作: 以前の Azure の仕様では、プライベートエンドポイントが含まれるサブネットに NSG を適用しても、プライベートエンドポイント宛てのトラフィックには NSG 規則が適用されず、バイパスされていました。
ネットワークポリシーの有効化: プライベートエンドポイントへのトラフィックを NSG でフィルタリング(制御)するには、対象のサブネット(この場合は Subnet1)の設定で 「プライベートエンドポイントのネットワークポリシー(Network Policy for Private Endpoints)」を有効(Enabled) にする必要があります。
結論: NSG を作成して関連付ける前に、このサブネットレベルの設定変更を最初に行わない限り、アクセス制御は機能しません。
コメント